जhtml_escape के लिए एक उपनाम है, जो है सभी HTML टैग वर्णों से बचने के लिए एक उपयोगिता विधि:
html_escape('<script src=http://ha.ckers.org/xss.js></script>')
# => <script src=http://ha.ckers.org/xss.js></script>
यदि आपको अधिक नियंत्रण की आवश्यकता है, तो साथ जाएं sanitize विधि है, जिसमें टैग की एक सफेद सूची के रूप में इस्तेमाल किया जा सकता और विशेषताएँ अनुमति देने के लिए:
sanitize(@article.body, :tags => %w(table tr td), :attributes => %w(id class style))
मैं इनपुट कुछ भी करने के लिए उपयोगकर्ता की अनुमति होगी, डेटाबेस में के रूप में है यह स्टोर, और भागने जब यह प्रदर्शित । इस तरह आप दर्ज की गई कोई भी जानकारी खोना नहीं चाहते हैं। आप हमेशा बाद में भागने वाले तर्क को ट्विक कर सकते हैं ...
स्रोत
2009-03-30 23:09:36
आपकी प्लगइन बहुत बढ़िया काम करती है। धन्यवाद! – djburdick
रेल 3 के लिए इसे अपडेट करना चाहते हैं? – slhck
यक। आपके डेटाबेस में बच निकला डेटा सैनिटी के लिए एक बुरा विचार है। – Ashe